La autenticación de dos factores, a menudo llamada 2FA, es una característica de seguridad que requiere una segunda evidencia además de su contraseña para iniciar sesión en una cuenta. El primer factor es algo que usted sabe: su contraseña. El segundo factor es algo que tienes, generalmente tu teléfono, que recibe un código temporal que también debes ingresar para completar el inicio de sesión. Incluso si un pirata informático ha robado su contraseña mediante una violación de datos o un ataque de phishing, no puede acceder a su cuenta sin tener también su teléfono, que es mucho más difícil de robar.
La mejora de la seguridad es espectacular. Microsoft ha publicado una investigación que muestra que activar la autenticación de dos factores bloquea el 99,9 por ciento de los intentos automatizados de apropiación de cuentas. Google ha publicado cifras similares. La razón es simple: la gran mayoría de los ataques en línea se basan en robar o adivinar contraseñas, y una contraseña robada es inútil para un atacante si no puede obtener también el segundo factor. La autenticación de dos factores esencialmente elimina la forma más común de comprometer la cuenta.
Y, sin embargo, a pesar de la simplicidad y el enorme beneficio, menos del 10 por ciento de los adultos estadounidenses mayores de 60 años tienen habilitada la autenticación de dos factores en sus cuentas más importantes. La razón es en parte que el término "autenticación de dos factores" suena técnico e intimidante, y en parte que el proceso de configuración parece misterioso antes de haberlo realizado. La realidad es que activarlo lleva unos cinco minutos por cuenta, y la experiencia diaria posterior añade unos tres segundos al inicio de sesión. El costo es trivial. El beneficio es enorme.
Así es como se ve realmente la experiencia de usar 2FA, día a día.
Vaya al sitio web de su banco y haga clic en "Iniciar sesión". Ingresas tu nombre de usuario y contraseña como de costumbre. En lugar de llevarlo inmediatamente a su cuenta, el sitio web ahora muestra un pequeño cuadro que solicita un "código de verificación". Su teléfono emite un mensaje de texto que contiene un código de seis dígitos (o su aplicación de autenticación muestra un código de seis dígitos que cambia cada 30 segundos). Escribe los seis dígitos en el cuadro y ya está conectado. Tiempo total añadido: unos tres segundos.
Si un hacker ha robado su contraseña e intenta iniciar sesión desde otro país, llegará al mismo punto que usted, pero no tendrá su teléfono. El código de verificación se enviará a su número, no al de ellos. El inicio de sesión fallará. El hacker buscará objetivos más fáciles. Tu cuenta está segura.
Los 'tres segundos adicionales' son el costo total de la experiencia del usuario de la autenticación de dos factores, y se compensan muchas veces con la protección que brinda. La mayoría de las personas que lo encienden dicen que al cabo de una semana apenas lo notan y al cabo de un mes se siente completamente natural.
Cuando activa 2FA, la mayoría de los sitios web le permiten elegir entre dos métodos para recibir el segundo factor: códigos de mensajes de texto (SMS) o una aplicación de autenticación. Ambos funcionan y ambos son dramáticamente mejores que ningún 2FA, pero las aplicaciones de autenticación son más seguras.
Los códigos de mensajes de texto son la opción más sencilla. El sitio web envía un código de seis dígitos a su teléfono mediante un mensaje de texto y usted lo escribe en el sitio web. La ventaja es que no requiere configuración más allá de confirmar su número de teléfono. La desventaja es que, en teoría, los mensajes de texto pueden ser interceptados por atacantes sofisticados utilizando una técnica llamada intercambio de SIM, en la que el atacante convence a su compañía telefónica para que transfiera su número de teléfono a una tarjeta SIM que ellos controlan. El intercambio de SIM es poco común entre objetivos comunes, pero ocurre y se ha utilizado para robar criptomonedas y acceder a cuentas importantes.
Las aplicaciones de autenticación son más seguras. En lugar de recibir un código por mensaje de texto, tiene una aplicación en su teléfono (Google Authenticator, Microsoft Authenticator, Authy o el autenticador integrado de 1Password) que genera un nuevo código de seis dígitos cada 30 segundos. La aplicación no requiere ninguna señal ni mensaje de texto: genera el código localmente en su teléfono mediante un algoritmo criptográfico. El intercambio de SIM no lo afecta. La desventaja es que la configuración inicial es un poco más complicada (escaneas un código QR con la aplicación) y necesitas que la aplicación esté instalada en tu teléfono.
Para la mayoría de los adultos mayores, la recomendación práctica es: usar códigos SMS para todo, porque son fáciles y dramáticamente mejores que nada. Para sus cuentas más confidenciales (correo electrónico, banco, cuentas de jubilación, administrador de contraseñas), actualice a una aplicación de autenticación para mayor seguridad. De cualquier manera, no te saltes la 2FA por completo sólo porque no puedas decidir entre los dos métodos.
Si solo habilita 2FA en cinco cuentas, estas son las cinco que más importan.
Correo electrónico. Su cuenta de correo electrónico es la llave del reino: si un pirata informático tiene acceso a su correo electrónico, puede solicitar el restablecimiento de contraseña de todas las demás cuentas que tenga, y la mayoría de esos restablecimientos se enviarán a su correo electrónico. Primero habilite 2FA en su cuenta de correo electrónico. Para Gmail, vaya a la configuración de su cuenta de Google y busque la sección Seguridad; para Outlook, vaya a la configuración de su cuenta de Microsoft; para Yahoo, vaya a Seguridad de la cuenta. Cada proveedor tiene instrucciones claras.
Cuenta bancaria. Es casi seguro que el sitio web de su banco admita 2FA. Ve a la sección de seguridad o configuración y actívalo. Es posible que el banco le solicite que confirme su número de teléfono primero. Una vez habilitado, deberá ingresar un código cada vez que inicie sesión (o cada vez que inicie sesión desde un dispositivo nuevo, según el banco).
Cuentas de corretaje y jubilación. Vanguard, Fidelity, Schwab y otras casas de bolsa admiten 2FA, y sus ahorros para la jubilación merecen al menos la misma protección que su cuenta corriente. Habilítelo.
Cuenta en línea de la Seguridad Social. El portal en línea de la Administración del Seguro Social (mySocialSecurity en ssa.gov) admite 2FA y, dada la cantidad de información confidencial que se encuentra allí, debería ser una de sus cuentas protegidas.
Administrador de contraseñas. Si siguió los consejos del artículo sobre el administrador de contraseñas y configuró Bitwarden o 1Password, habilite 2FA en el administrador de contraseñas. Esta es la cuenta más importante de su vida digital (contiene todas las demás) y merece la protección más sólida posible.
Después de estos cinco, puedes habilitar gradualmente 2FA en otras cuentas a medida que inicias sesión en ellas. La mayoría de los servicios principales lo admiten ahora: Amazon, Facebook, Apple ID, Microsoft, PayPal, Venmo y muchos otros. Cuantas más cuentas lo habilites, más disminuirá tu riesgo general.
Los pasos exactos varían según el sitio web, pero el proceso general es similar en todas partes. Así es como se ve una cuenta bancaria típica.
Paso uno: inicie sesión en la cuenta con su contraseña existente. Vaya a la configuración de la cuenta o a la sección de perfil. Busque una categoría llamada "Seguridad", "Seguridad de inicio de sesión", "Verificación en dos pasos" o "Autenticación de dos factores".
Paso dos: haga clic para habilitar la autenticación de dos factores. Es probable que el sitio web le solicite que confirme su contraseña antes de realizar el cambio.
Paso tres: elige tu método. Si elige mensajes de texto, ingrese su número de teléfono y el sitio web le enviará un código de prueba para confirmarlo. Escriba el código en el sitio web. La configuración está completa.
Paso cuatro: si eliges una aplicación de autenticación, el sitio web mostrará un código QR en tu pantalla. Abra su aplicación de autenticación, toque la opción para agregar una nueva cuenta y escanee el código QR con la cámara de su teléfono. La aplicación agregará la cuenta y comenzará a generar códigos de seis dígitos para ella. Ingrese el código actual de seis dígitos en el sitio web para confirmar la configuración.
Paso cinco: guarde los códigos de recuperación. La mayoría de los servicios le brindan un conjunto de códigos de respaldo únicos que puede usar si alguna vez pierde el acceso a su teléfono. Estos son fundamentales: anótelos y guárdelos en un lugar seguro (no en su teléfono). Si pierde su teléfono y no tiene códigos de respaldo, es posible que se le bloquee la cuenta de forma permanente.
Paso seis: pruébelo cerrando sesión y volviendo a iniciarla. Confirme que el nuevo flujo de inicio de sesión funcione como se esperaba. Ahora tiene una cuenta con 2FA habilitada y es mucho más difícil de piratear.
La preocupación más común sobre 2FA es lo que sucede si pierde su teléfono. El miedo es real, pero las soluciones están bien desarrolladas y perder su teléfono no tiene por qué excluirlo de sus cuentas de forma permanente.
Solución uno: códigos de respaldo. Cuando configura 2FA, la mayoría de los servicios le brindan un conjunto de códigos de respaldo únicos, generalmente entre 8 y 10 códigos que puede usar para iniciar sesión si no tiene su teléfono. Anótelos, guárdelos en un lugar seguro (ni en su billetera, ni en su computadora, ni en su teléfono) y use uno si alguna vez necesita iniciar sesión sin su teléfono. Cada código sólo se puede utilizar una vez.
Solución dos: recuperación de cuenta. La mayoría de los servicios principales tienen procesos de recuperación de cuentas para los usuarios que han perdido su segundo factor. El proceso generalmente implica responder preguntas de seguridad, verificar información personal o enviar un código de verificación a un correo electrónico o número de teléfono de respaldo. El proceso puede tardar uno o dos días, lo que resulta frustrante pero no catastrófico.
Solución tres: aplicaciones de autenticación sincronizadas en la nube. Algunas aplicaciones de autenticación (Authy en particular, o Microsoft Authenticator con copia de seguridad en la nube habilitada) sincronizan sus códigos con la nube y se pueden restaurar en un teléfono nuevo. Si configura esto correctamente cuando instala la aplicación por primera vez, recuperarse de un teléfono perdido es mucho más fácil: instala la aplicación en el nuevo teléfono, inicia sesión y sus códigos se restauran automáticamente.
Solución cuatro: quédese con un teléfono viejo. Algunos usuarios de 2FA guardan su teléfono antiguo en un cajón de casa como respaldo, con la aplicación de autenticación aún instalada. Si pierden su teléfono principal, pueden usar el teléfono antiguo para generar códigos hasta que consigan un reemplazo. Esto no es necesario para la mayoría de las personas, pero es una buena póliza de seguro si le preocupa perder el acceso.
Cualquiera que sea el enfoque que adopte, planifique el escenario de pérdida del teléfono antes de configurar 2FA, no después. Los cinco minutos que dedica a escribir códigos de respaldo cuando habilita 2FA son su seguro contra un problema mucho más frustrante en el futuro.
La autenticación de dos factores es la mejora de seguridad más poderosa y accesible disponible para cualquier usuario común en 2026. La configuración demora aproximadamente 30 minutos para sus cinco cuentas más importantes. El costo diario es de aproximadamente tres segundos por inicio de sesión. El beneficio es una reducción del 99,9 por ciento en el riesgo de ser pirateado, incluso si le roban una contraseña.
Básicamente, no existe ninguna buena razón para no hacer esto. La tecnología está madura, la experiencia del usuario está pulida y la protección que proporciona es espectacular. Si le preocupan las estafas, los hackeos, el robo de identidad o cualquiera de los otros riesgos digitales que enfrentan los adultos mayores, la autenticación de dos factores es la defensa más eficaz a su disposición.
Reserva 30 minutos esta semana. Comienza con tu cuenta de correo electrónico, que es la más importante. Luego su banco, luego su corretaje, luego su cuenta de Seguro Social, luego su administrador de contraseñas. Al final de los 30 minutos, habrá transformado la seguridad de su vida digital y dormirá mejor sabiendo que incluso si le roban una contraseña en algún lugar, sus cuentas seguirán protegidas. No hay otra hora que pueda dedicar a la tecnología este año que le reportará tanto en seguridad, tranquilidad y protección contra la catástrofe en cámara lenta de tener sus cuentas comprometidas. Hazlo esta semana.